If a safety-related railway control system involves the transfer of information between different locations, the communication system then forms an integral part of the safety-related system and it must be shown that the end to end transmission is safe in accordance with CENELEC EN 50129. The safety requirements for a data communication system depend on its characteristics which can be known or not. In order to reduce the complexity of the approach to demonstrate the safety of the system two classes of transmission systems have been considered for railway applications. The first class consists of the systems over which the safety system designer has some degree of control. The second class, named open transmission system, consists of all the systems whose characteristics are unknown or partly unknown. In railway applications the standard EN 50159-2 defines the safety requirements addressed to the transmission through open transmission systems. The presentation discusses the basic requirements and in particular architectural constraints imposed by the standard and give some application examples.

Eine industrielle Anlage besteht aus unterschiedlichen Hardware- und Software-Komponenten. Um eine Gefährdungen des Bedienpersonals und der Umwelt zu vermeiden und um eine ordnungsgemäße Produktion zu gewährleisten, müssen die verbauten Komponenten die an sie gestellten Anforderungen erfüllen, z.B. von einem qualifizierten Lieferanten stammen, und ordnungsgemäß in der Anlage installiert sein. Eine durch Security-Mechanismen bestätigte Produktidentität für Softwarekomponenten und physische Anlagenkomponenten erbringt einen nicht-manipulierbaren und vor Allem auch automatisiert auswertbaren Herkunftsnachweis. Beim Nachweis der Anlagenintegrität werden die einzelnen Komponenten und die Gesamtkonfiguration überprüft. Manipulierte, nicht zugelassene Software- und Hardware-Komponenten werden erkannt. Auf den Einbau von nicht zugelassenen Austauschkomponenten (z.B. falsche Version) oder bei unzulässigen Umbauten an der Anlage kann geeignet reagiert werden. Je nach Schwere der Abweichung kann ein Betrieb der Anlage eingeschränkt oder sogar ganz unterbunden werden, oder es wird nur ein Warnhinweis erzeugt. Insbesondere können dadurch Manipulationen an Safety-Schutzmaßnahmen erkannt werden. Wenn nicht zulässige Safety-Komponenten installiert sind, kann eine geforderte Anlagensicherheit nicht gewährleistet werden. Neben den direkten personellen und auch materiellen Gefährdungen können sich auch negative Auswirkungen auf Gewährleistung und Versicherungskonditionen ergeben. Die praktische Bedeutung und Realisierungsmöglichkeiten einer nachweisbaren Anlagenintegritätsprüfung werden anhand von industriellen Anwendungsbeispielen dargestellt.

Die IT-Sicherheitszertifizierung zählt zu den Kernaufgaben des BSI. Das BSI entwickelt Prüfvorschriften in Form von Schutzprofilen (Protection Profiles), IT-Sicherheitsmaß-nahmen für den IT-Grundschutzkatalog und Technischen Richtlinien (TR), die nationale Sicherheitsstandards darstellen. Auf Basis der Prüfschriften werden die Sicherheitseigen¬schaften von IT-Produkten und -Systemen transparent und vergleichbar evaluiert und zertifiziert. Folgende Zertifizierungsverfahren werden angeboten: Produktzertifizierung nach Common Criteria (CC) (ISO/IEC 15408), Bestätigung von Produkten nach Signaturgesetz (SigG), Zertifizierung nach Technischen Richtlinien (TR) des BSI sowie Zertifizierung von Systemen nach ISO 27001 auf der Basis von IT-Grundschutz. Die Zertifizierung nach CC setzt voraus, dass das zu evaluierende IT-Produkt (EVG) Sicherheitsziele für die zu schützenden Informationen (assets) durchsetzten kann. Hierzu muss der EVG Sicherheitsfunktionen anbieten, die gegen die erkannten Bedrohungen wirken. Die Evaluierung soll zeigen, ob die implementierten Sicherheitsfunktionen einen ausreichenden Widerstand gegen die Bedrohungen aufweisen. Das BSI ist im Sinne des Signaturgesetzes eine anerkannte Bestätigungsstelle. Gemäß den Vorgaben der Signaturverordnung wird die Evaluierung eines IT-Produktes nach den international anerkannten Prüfkriterien, den CC, von einer vom BSI anerkannten Prüfstelle durchgeführt. Die Evaluierung als Grundlage für die Ausstellung einer Bestätigung verläuft genauso wie eine Evaluierung, die Grundlage für die Ausstellung eines IT-Sicherheits¬zertifikats ist. Die Zertifizierung nach Technischen Richtlinien (TR) wird immer dann notwendig, wenn abgesehen von der Realisierung bestimmter Sicherheitseigenschaften die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder -Systems gefordert ist. In besonderem Maße gilt dies für IT-Produkte und -Systeme, die für den Einsatz in hoheitlichen und demnach sicherheitskritischen Bereichen der Bundesrepublik Deutschland vorgesehen sind. Die Konformität eines IT-Produktes oder -Systems zu einer Technischen Richtlinie kann durch das BSI mit einem Zertifikat bestätigt werden. Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar. Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz oder eines Auditor-Testats ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Audit_Reportzur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditreports und des ISO 27001-Grundschutz-Zertifizierungsschemas wird ein Zertifikat ausgestellt. Schwerpunkt des Vortrages auf der SafeTRANS – 8. Industrial DAY soll die Produktzertifizierung nach CC und deren Anwendbarkeit auf eingebettete Systeme in Verkehrssysteme sein.

Der unaufhaltsame Trend zur fortschreitenden Vernetzung eingebetteter Systeme birgt insbesonders im sicherheitskritischen Umfeld zusätzliche Risiken, die durch erhöhte Systemkomplexität und einhergehenden Möglichkeiten zur missbräuchlichen Fremdeinwirkung entstehen. Obwohl sich die Grundwerte Verfügbarkeit und Integrität mit ganz ähnlichen Zielstellungen im jeweiligen Umfeld 'Verfahrenssicherheit' (safety) und 'Angriffssicherheit' (security) wiederfinden, haben sich beide Fachgebiete bislang relativ unabhängig voneinander entwickelt. Dies drückt sich beispielsweise in spezifischen Begriffswelten und nur gering vernetzten Communities aus. In Deutschland bietet seit 2002 der GI-Fachbereich "Sicherheit - Schutz und Zuverlässigkeit" ein gemeinsames Dach für das Querschnittsthema 'Sicherheit', eine angemessene fachliche Diskussion ist jedoch zur sicherheitsfördernden Konvergenz nach wie vor erforderlich. Der Vortrag beleuchtet Sicherheitsanforderungen an eingebettete Software-Systeme aus beiden Perspektiven und gibt Anregungen zu einer gesamtheitlichen Sichtweise.

Traditionell ist Safety im Bereich von Embedded Systemen, spätestens seit der Einführung von „fly-by-wire“, ein wichtiger Aspekt bei der Entwicklung von Flugzeugsystemen. Die fortschreitende Integration von Datennetzwerken im Flugzeug erfordert eine Analyse jedes Systemdesigns um gegebenenfalls angemessene IT-Security Maßnahmen zu implementieren. Getrieben durch die zunehmende Vielfalt an Schnittstellen (z.B. WLAN/GSM/UMTS) werden bekannte Sicherheitsrisiken in die Domäne der Flugzeugkabine getragen. Ziel des Vortrages ist es einen Einblick in die grundsätzlichen Safety und IT-Security Anforderungen und Konzepte der zivilen Flugzeugindustrie zu bieten. Das Spannungsfeld Safety-Security wird beschrieben, um zu zeigen welche, teils widersprüchlichen, Anforderungen daraus entstehen können. Insbesondere wird die Frage diskutiert, warum selbst für Safety-unkritische Systeme ein Minimum an IT- Security-Maßnahmen notwendig ist.

In this presentation, we will present benefits of a model-based software development approach using automatic code generation certified to the IEC 61508 (from which e.g. ISO/DIS 26262 (automotive), EN 50128 (transportation), and DO-178B (aerospace) are derivations) evaluated in a real-life project in direct comparison to conventional software development techniques. The project was conducted in the area of transportation (railway control center) under SIL-4 requirements. The experiences made are transferable to other domains for which similar constraints (standards) are valid. We could proof that for module design, implementation and testing the effort can be decreased by half while increasing the quality of the whole software in terms of efficiency, effectivity and maintainability in parallel.

Die Absicherung von Car2X- und In-Car Szenarien stellt hohe Anforderung an die Entwicklung von geeigneten Sicherheits- und Safety Maßnahmen. Durch die Einführung des IP Protokolls im Fahrzeug soll die komplexe Kommunikationsstruktur von sehr vielen, heterogenen, von einander isoliert arbeitenden Electronic Control Units (ECUs), Sensoren und Aktoren zum einen deutlich vereinfacht und eine durchgehende Kommunikation zwischen den Komponenten des Systems of Systems ermöglicht werden. Durch den Übergang zu offenen, IP-basierten Plattformen im Fahrzeug ergeben sich völlig neue Bedrohungen für die Betriebs- und Funktionssicherheit der eingebetteten Komponenten. Manipulierte ECUs, Sensoren oder manipulierten Kommunikationsdaten können sicherheitskritische Situationen herbei führen, wie der Ausfallen der Bremskraft- oder eine aktive Manipulation der Fahrzeuglenkung. Neue Bedrohungs- und Angriffsszenarien ergeben sich dadurch, dass potentiell alle Fahrzeugsysteme jederzeit, von Angreifern zugänglich sind. Der Vortrag wird Ergebnisse aus laufenden nationalen und europäischen Projekten des SIT vorstellen, die darauf abzielen, Security und Safety von Fahrzeugen zu erhöhen. So ist das Ziel des vom Fraunhofer SIT geleiteten EU-Projekts EVITA, Architekturen und Lösungen zu entwickeln, so dass die Infrastruktur innerhalb eines Fahrzeuges vor Eingriffen geschützt wird. Im BMBF-Projekt SEIS (Sicherheit in Eingebetteten IP-basierten Systemen) oder auch im BMBF-Projekt simTD (Sichere Intelligente Mobilität, Testfeld Deutschland) werden Sicherheitslösungen zur Unterstützung IP-basierter Echtzeit-Kommunikationssysteme zwischen Embedded Devices in Automotivanwendungen sowie Schutz- und Missbrauchslösungen für Fahrzeugkomponenten und Netzelemente in Kommunikationsinfrastrukturen entwickelt. Es zeigt sich, dass u.a. vereinheitliche Fehler-, Angriffs- und Bedrohungsmodelle notwendig sind, um die Wechselwirklungen zwischen Security und Safety-Eigenschaften präzise zu erfassen und in geeignete Systemarchitekturen umzusetzen.

Eingebettete Softwaresysteme haben in den letzten 20 Jahren einen immer größeren Anteil an unserer Lebens- und Arbeitswelt erhalten. Von der Waschmaschine, über das Automobil bis zu komplexen Produktionsanlagen übernehmen sie die Steuerung von teils hochkomplexen und sicherheitskritischen Anwendungen. War der Zugriff auf solche Systeme bisher i.d.R. lokal beschränkt und damit kontrollierbar, führt die fortschreitende Vernetzung dieser Systeme und ihre Integration in öffentlich zugängliche Kommunikationsinfrastrukturen wie dem Internet, zu einer neuen Klasse von Risikofaktoren, die es systematisch zu analysieren gilt. In unserem Vortrag erläutern wir die Bedeutung der IT-Sicherheit als relevanten Faktor für die funktionale Sicherheit eingebetteter Systeme am Beispiel der Integration von Fahrzeugen bzw. Fahrzeugfunktionen in und mit öffentlich zugänglichen Kommunikationsinfrastrukturen. Bereits heute sind moderne Fahrzeuge mit ihrer Umgebung vernetzt. Bisher nutzen allerdings fast ausschließlich Entertainment- und Telematiksysteme öffentlich zugängliche Kommunikationsinfrastrukturen. Für zukünftige Fahrzeuggenerationen werden jedoch vermehrt auch Fahrassistenzsysteme konzipiert, die auf Kommunikationstechnologien aufsetzen und die in den Bereich sicherheitskritischer Systeme fallen. Der Schutz dieser Systeme gegen Angriffe und die Gewährleistung von Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit und Verbindlichkeit der kommunizierten Daten werden in diesem Zusammenhang zu kritischen Faktoren für die funktionale Sicherheit des Gesamtsystems Fahrzeug. Wir zeigen, wie die oben genannten Faktoren systematisch ermittelt und in eine funktionale Risikoanalyse integriert werden können.